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@ Procedd d'obtention d'une attestation en clair securisee dans un environnement de systeme 
informatique distribu6. 



1. Precede d'obtention d'au moins une attestation en clair (AT) securisee f ar , * u u n 

demandeur (SO appartenant a un systeme informatique (SY) comprenant une pturalite de sujets et une 
autorite (AU) representee par au moins un serveur (SAU) agisssant en son nom. 

3 _^^iu^emarKJe«r (S,) adresse a I'autorite (AU) une demande d'attestation et iui communique 

au moins une donn6e de protection (CP), ... /e> r- x .„ /crz\ Ho 

— 2°) Le serveur (SAU) constitue I'attestation (AT) et calcule le sceau (SE) ou la signature (SG) de 
I'attestation (AT) en tenant compte de la premiere donnee de protection (CP), 

— 3°) Le serveur transmet Pattestation scellee ou signee (AT) au sujet demandeur (S t ). 

Selon ('invention, le precede est caracteris6 en ce que * , A . /nl * 

a) lors de la premiere etape, le sujet demandeur <S,) choisit au hasard une donnee de > eonMte (CL) 
qui associe et lie a la donnee de protection (CP) par une relation non inversible (r>) puis j»»mt m 
clair a I'autorite (AU), d'une part une information ^identification definissant la relation et d autre part la 

VlorfdK^^ introduit la donnee de protection (CP) et rinformation 

d'identification dans I'attestation (AT) puis calcule le sceau (SE) oula signature (SG), 

c) lors de la troisieme etape, ce dernier transmet I'attestation (AT) en clair au sujet demandeur (S,). 

Applicable aux systemes informatiques. 
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La presente invention concerne un procede 
d'obtention et de transmission d'une ou plusieurs 
attestations en clair securisees par un sujet deman- 
deur utilisant un systeme informatique distribue. Elle 
est plus particulierement destinee a assurer la protec- 
tion d'une ou plusieurs attestations attribuees a un ou 
plusieurs sujets utilisateurs du systeme lors de leur 
obtention et pendant leur transfert d'un sujet a I'autre. 

D'une maniere generate, un systeme informati- 
que distribue comprend une pluralite d'ordinateurs 
pouvant chacun mettre en oeuvre un grand nombre 
de programmes d'application permettant d'accomplir 
des taches variees (calcul de factures, calcul de la 
paie des salaries, reservations de billets de chemin de 
fer ou d'avion, recherche d'abonnes au telephone, 
etc ...). ainsi qu' une pluralite de terminaux ou stations 
auxquels peuvent avoir acces directement des per- 
sonnes physiques (terminaux a ecran, claviers, 
etc „.). Les differents elements composant un sys- 
teme informatique distribue (terminaux, ordinateurs) 
sont relies entre eux par un reseau de transmission de 
donnees, appele encore reseau de telecommunica- 
tions, et communiquent par I'intermediaire d'une ligne 
de transmission (fits teiephoniques, coaxial, bus). 

D'une maniere generale, les utilisateurs d'un sys- 
teme informatique distribue sont soit des personnes 
physiques, soit encore des programmes informati- 
ques. Ses utilisateurs sont encore appeles sujets. 
Dans un systeme informatique, ces sujets ne peuvent 
avoir acces aux differents elements composant le 
systeme que s'ils sont munis d'une attestation. Les 
attestations ainsi fournies sont personnelles, c'est-a- 
dire propres a chaque sujet et conferent a celui-ci, qui 
en est le legitime possesseur, des droits au sein du 
systeme informatique distribue. Ainsi, par exemple, 
dans une entreprise, seuls les responsables de la 
paie des salaries peuvent avoir acces au fichiersaiai- 
res de ceux-ci et effectuer la paie a la fin de chaque 
mois. A cet effet, ^attestation qu'ils recoivent deftnit 
de maniere explicite un droit a avoir acces a ce fichier 
et a pouvoir payer le personnel. II est important que 
chaque attestation fournie a un sujet determine utili- 
sant un systeme informatique ne puisse etre derobee 
ou obtenue pard'autres sujets. II est done necessaire 
qu'elle soit protegee. 

Dans les systemes informatiques, I'attestation 
est creee sous forme d'un ensemble d'informations 
binaires transmissible. II est important qu'elle puisse 
etre transmissible directement entre differents sujets 
autorises a la posseder. On doit proteger une attes- 
tation d'une part lors de son obtention (lorsqu'elle est 
creee, voir ci-dessous) et d'autre part lorsqu'on la 
transfere d'un quelconque sujet a un autre, autorise 
a la posseder. 

Une attestation peut etre creee soit par une per- 
sonne physique, soit encore plus generalement par 
une autorite. Ce terme doit §tre entendu au sens le 
plus large, a savoir toute personne physique ou 



morale {ou ses mandataires ou representants dument 
accredites) munie d'un droit ou pouvoir de comman- 
der, de se faire obeir. Ainsi, dans une entreprise, 
I'autorite est le chef d'entreprise et ses mandataires 

5 ou representants dans des domaines bien precises 
d'activites de I'entreprise. Ce peut done Stre par 
exemple le responsable du service paie des salaries. 
Cette autorite peut etre par exemple representee par 
au moins un logiciel special, mis en oeuvre par I'un 

10 des processeurs centraux du systeme informatique, 
ce logiciel etant appele serveur de securite (security 
attribute server, selon la terminologie anglo- 
saxonne). II convientde preciserque une attestation, 
selon la terminologie anglo-saxonne, plus speciale- 

15 ment utilisee par I'ECMA (European Computer Manu- 
facturers Association) est designee sous le sigle PAC 
qui signifie Privilege Attribute Certificate. Dans le Ian- 
gage courant des informaticiens, une attestation est 
egalement designee sous le vocable de jeton ou de 

20 ticket. 

Afin de mieux comprend re Pessence mSme de 
I'invention, it est utile d'effectuer quelques rappels fai- 
sant intervenir des notions de cryptographie. 

Une information en dair, est une information 

25 binaire dont la semantique peut etre comprise par 
n'importe quel sujet utilisant le systeme informatique. 
En particulier, si I'un des sujets ecoute la ligne de 
transmission par laquelle transient les informations 
en clair, la connaissance du protocole d'achemine- 

30 ment des donnees, lui permet de pouvoir lire ces infor- 
mations et les comprendre. 

Le chiffrement est une operation de transforma- 
tion d'une information en clair en une information chrf- 
free pourrendre celle-c? inintelligible par tout sujet qui 

35 ignore la fonction math^matique de chiffrement F 
et/ou la cle de chiffrement attachee a cette fonction 
par laquelle (par lesquelles) la transformation de 
rinformation en clair en information chiffree s'est 
effectuee. 

40 Le dechiffrement est I'operation inverse du chif- 

frement, lorsque i'algorithme de chiffrement est rever- 
sible. La fonction de dechiffrement est la fonction 
mathematique inverse F~ 1 de la fonction de chiffre- 
ment 

45 Divers types d'algorithmes sont utilisables pour 

effectuer aussi bien I'operation de chiffrement que 
I'operation de dechiffrement : 

- les algorithmes a cle secrete, encore appeles 
algorithmes symetriques, ce qui signifie que I'on 

so chiffre I'information en clair au moyen de la cle 

secrete (celle-ci est alors la cle de chiffrement) et 
que I'on dechiffre ('information chiffree au moyen 
de cette meme cle secrete utilisee comme cle de 
dechiffrement Bien entendu, aussi bien celui qui 

55 effectue le chiffrement que celui qui effectue le 

dechiffrement dofvent posseder en commun la 
meme cle secrete. 

- les algorithmes a cles privee/publique, encore 
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appeles algorithmes asymetriques. Cela signifie 
que le chiffrement est effectue en utilisant la cle 
privee (ou c!6 publique) comme cle de chiffre- 
ment, cette cle privee etant connue du seu! sujet 
effectuant le chrffrement, alors que le dechiffre- 5 
ments'efTectue en utilisant la de publique connue 
de tous les sujets (ou cle privee), comme cie de 
dechrTfrement 

Dans Tart anterieur, les algorithmes les plus 
connus pour effectuer les operations de chiffrement et 10 
de dechrffrement sont !es algorithmes symetriques 
dits DES et les algorithmes asymetriques dits RSA. 

L'aigorithme DES de chiffrement/dechiffrement 
est decrit dans le Federal Information Processing 
Standards Publication du 15/01/1977 par le National 15 
bureau of standards des Etats-Unis d'Amerique, DES 
signifiant Data Encryption Standard. 

L'aJgorithme RSA est decrit dans le brevet ame- 
ricain de Rrvest, Shamir et Adleman N° 4,405,829. 

II existe essentiellement deux sortes d'attesta- 20 
tions ecrites sous forme o"un ensemble d'informations 
binaires : 

- celles dont les informations sont chiffrees, 

- et celles dont les informations sont en clair. 

Les attestations chiffrees sont protegees contre 25 
le vol durant leur transfert mais presentent I'inconve- 
nient essentiel de devoir etre d'abord dechiffrees par 
leur destinataire pour pouvoir etre exploitables. 

En general, les attestations en clair sont signees 
ou sceflees. 30 

Ainsi qu'on peut le voir a la figure 1, on signe ou 
on scelle une attestation de la maniere survante : 

En ce qui conceme la signature, on calcule 
d'abord une somme de controle sur I'ensemble des 
informations binaires constituant I'attestation. Cette 35 
somme de controle (check sum, en anglais) designee 
par SC est ensuite chiffree au moyen de la fonction 
mathematique F en utilisant comme cle de chiffre- 
ment la cie privee CPR, pour obtenir la signature SG. 
Celui qui recort I'attestation munie de la signature SG 40 
effectue ('operation de dechiffirement de celle-ci, en 
utilisant comme donnee d'entree la signature SG et 
comme cle de chrffrement une cle publique CPL, la 
fonction de dechrffrement etant F. v On obtient alors 
en sortie la somme de controle SC. 45 

En ce qui conceme le calcul du sceau, apres avoir 
calcule la somme de controle SC ( on utilise celle-ci 
comme donnee d'entree pour ['operation de chiffre- 
ment au moyen de la fonction de chiffrement F, en uti- 
lisant comme cle de chiffrement une cle secrete CS. so 
On obtient a la sortie le sceau SE. Celui qui recoit 
I'attestation effectue reparation de dechiffrement en 
utSisant ce sceau SE comme donnee d'entree et 
comme cie de dechiffrement la meme cle secrete CS 
qui avart 6te utilisee comme c!6 de chrffrement pour 55 
obtenir le sceau. On obtient en sortie a nouveau la 
somme de controle SC. 



Pour effectuer une signature, on utilise un algo- 
rithme asymetrique, alors que pour effectuer le scel- 
lement on utilise un algorithme symetrique. 

Des que le destinataire de I'attestation a recu cel- 
le-ci, 0 calcule une somme de controle SC sur 
I'ensemble des informations binaires constituant 
I'attestation non compris la signature. Et il effectue 
ensuite la comparaison entre SC et SC. Si cette 
comparaison est positive, cela signifie que I'ensemble 
des informations binaires constituant I'attestation n'a 
pas ete modifie. 

On voit done que le scellement ou la signature 
consiste a ajouter une donnee de contrdle placee a la 
fin de Pattestation, et qui est ajoutee a I'ensemble des 
informations binaires qui d6finissent les droits du 
sujet possesseur de i'attestation au sein du systeme 
informatique securise. 

Les attestations en clair, qu'elles soient sign§es 
ou scellees, sont certes protegees contre la contrefa- 
gon (puisque personne ne peut reproduire la signa- 
ture en dehors de celui qui possede cle privee ou cle 
secrete et personne hormis le destinataire ne peut 
reproduire le sceau) mais ne sont pas protegees 
contre le vo! durant leur transfert. Eiles presentent par 
contre I'avantage d'etre directement exploitables. 
Pour proteger les attestations en clair signees ou 
scellees durant leur transfert d'un sujet a un autre, un 
systeme complementaire de protection est neces- 
saire. 

On connaft deja un systeme de protection 
complementaire d'une attestation en clair. Un tel sys- 
teme a §te congu par I'ECMA qui a defini une attes- 
tation soit scellee soft signee et qui est protegee au 
moyen d'une valeur secrete appelee cle de validation 
(validation key, en anglais). Cette valeur secrete ne 
fait pas partie des donnees constituant I'attestation, 
mais elle est utilisee dans le calcul du sceau ou de la 
signature. Elle est communiquee par Tentite qui deln 
vre I'attestation a son ben^ficiaire de maniere confi- 
dentielle. Le beneficiaire (sujet detenteur de 
I'attestation) doit ainsi foumir cette cle a tout sujet 
destinataire pour permettre la verification du sceau, 
ce qui prouve que i'attestation n'a pas ete volee. 

Selon la norme ECMA definissant ce type d'attes- 
tation (norme ECMA 138) on procede de la maniere 
survante pour obtenir une attestation. On se refere 
done a la figure 2. 

On considere un sujet demandeur d'une attesta- 
tion S 1( qu'on definit egalement comme un utilisateur 
du systeme informatique. 

L'obtention de I'attestation s'effectue en trots eta- 
pes success ives qui sont les survantes : 

1/ Le sujet demandeur adresse au serveur de 
securite SAU representant I'autorite AU une 
demande d'attestation indiquant une ou plusieurs 
actions qu'il desire effectuer au sein du systeme 
(imprimer les feuilles de pare du personnel, par 
exemple) et lui communique optionneilement une 
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donnee de protection, £ savoir la cie de validation 
prScitee. Cette cie de validation a ete pr6c§dem- 
ment chifftee par le sujet demandeur. 
21 Le serveur SAU regoit la demande d'attesta- 
tion et constitue celle-ci sous forme d'un ensem- s 
ble d'informations binaires. II calcule le sceau SE 
(ou la signature) en tenant compte de la cie de 
validation, cette dernifere ayant 6te d6chiffr6e 
auparavant par le serveur. 

3/ Le serveur SAU transmet I'attestation ainsi 10 
sceliee ou stgn£e au sujet demandeur St. 
Si, lore de I'etape 1, le sujet demandeur n'a pas 
communique la donnee de protection, alors le serveur 
foumit 6ga1ement une donnee de protection chiffr6e 
pour le sujet, dans la reponse £ la demande de I'attes- 15 
tation. 

Pour transmettre I'attestation £ un sujet S 2 , 
envoie une requeue £ S 2 , decrivant les actions qu'il 
desire effectuer, ou faire effectuer£ S 2 . Cette requete 
est, comme I'attestation, sceliee ou sign6e pour 20 
garantir son integrity durant le transfert, mais par le 
sujet Si lui-m£me et non par une autorite. La requite 
ainsi etablie, contient I'attestation obtenue au preala- 
ble aupr£s du serveur SAU, ainsi que la cie de vali- 
dation chiffr6e pour S 2 . Celui-ci d6chiffre la cI6 de 25 
validation. II calcule la somme de contrdle sur les infos 
binaires de I'attestation re$ue, en tenant compte de la 
valeurde la c!6 de validation. Cette somme ainsi cal- 
cu!6e est compare £ la valeur dechiffr6e du sceau ou 
de la signature contenu dans Tattestation. 30 

L'inconv6nient du module d'attestation pr€conis£ 
par I'ECMA utilisant une cie de validation est de faire 
intervenir un element exterieur £ I'attestation et de ce 
fait, lors de la demande d'attestation, il est necessaire 
de chiffrer la cie de validation soit lors du transfert du 35 
sujet demandeur vers le serveur lors de la demande, 
soit lors de la reponse du serveur vers le sujet deman- 
deur. Ceci peut n6cessiter plusieurs centaines de mil- 
lisecondes de calcul, ce qui est estime considerable 
dans un systeme informatique et done tr£s couteux. 
De m6me, lors de la transmission d'une i'attestation, 
il est n6cessaire £ la reception de celie-ci de proceder 
d'abord £ une operation de d6chiffrement d'une cie, 
& savoir la c!6 de validation, pour pouvoir verifier le 
sceau de I'attestation. 

En conclusion la methode preconisee par 
I'ECMA, quoique efficace est relativement compli- 
quee. 

C'est pr6cis6ment un objet de la pr6sente inven- 
tion que de simplifier la methode pr6conis6e par 
I'ECMA. Le proc6d6 selon I'invention s'applique £ des 
attestations sceliees ou signees et son original ite 
consiste £ introduire dans I'attestation elle-meme la 
donn6e de protection qui va done dtre en clair. Pour 
proteger I'attestation, selon I'invention, le detenteur 
de ('attestation doit prouver qu'il connait une valeur 
associee £ la donn6e de protection de maniere uni- 
que. Cette valeur associee est appeiee donnee de 



contrdle, ou encore cie de contrdle. 

Selon I'invention, le proc6d6 d'obtention d'une 
attestation en clair securis6e par un sujet demandeur 
appartenant £ un systeme informatique distribue 
comprenant une pluralite de sujets et une autorite 
deiivrant des attestations representee par au moins 
un serveur agissant en son nom, les sujets communi- 
quant entre eux par I'intermediaire d'un r6seau, 
comportant les 6 tapes successives survantes : 

1 . Le sujet demandeur adresse & I'autorite une 
demande d'attestation et lui communique au 
moins une donn6e de protection, 

2. Le serveur constitue I'attestation sous forme 
d'un ensemble d'informations binaires et calcule 
le sceau ou la signature de I'attestation en tenant 
compte de la donn6e de protection, 

3. Le serveur transmet I'attestation scell6e ou 
signee ainsi constitu6e au sujet demandeur, 

est caracterise en ce que: 

a) lors de la premiere etape, le sujet demandeur 
choisit au hasard une donn6e de contrdle qu'il 
associe et lie £ la donnee de protection par une 
relation non inversible Fcp puis transmet en clair 
£ I'autorite, d'une part une information d'identifi- 
cation definissant la relation et d 'autre part la don- 
nee de protection, 

b) lors de la seconde etape, le serveur introduit la 
donnee de protection et Pinformation d'identifica- 
tion dans I'attestation, puis calcule le sceau ou la 
signature, 

c) lors de la troisi£me etape, I'attestation est 
transmise en clair au sujet demandeur, 
Dans un premier exemple de realisation pr6fer6e 

de I'invention, la donnee de contrdle et la donnee de 
protection sont liees par un m6canisme £ cl6 publique 
et cie privee, la donnee de contrdle etant une cie pri- 
v6e et la donn6e de protection une cie publique. 

Dans un second exemple de realisation pr6fer6e 
de I'invention, la donn6e de contrdle et la donn6e de 
40 protection sont Ii6es par un systeme de chiffrement 
non inversible, la donn6e de contrdle etant une cie 
cachee et la donn6e de protection une cI6 rev6l6e. 

Dans une troisi£me forme de realisation pr6fer6e 
de I'invention, on combine la premiere et la deuxieme 
45 forme de realisation pr6f6r6e de I'invention, en intro- 
duisant une premiere donn6e de contrdle et une pre- 
miere donnee de protection qui sont H6es par un 
m6canisme £ cie publique et c!6 priv6e, de la mdme 
maniere que dans le premier exemple de realisation, 
50 et une seconde donn6e de contrdle et une seconde 
donnee de protection Ii6es par un systeme de chiffre- 
ment non inversible, selon le deuxieme exemple de 
realisation de I'invention. 

D'autres caract6ristiques et avantages de la pre- 
ss sente invention apparattront dans la description sui- 
vante donnee £ titre d'exemple non limitatif et en se 
r6f6rant aux dessins annexes. Sur ces dessins : 
- La figure 1 rappelle comment s'effectuent les 
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operations de chiffrement et de dechiffrement 
selon un algorithme symetrique ou asymetrique, 

- La figure 2 est un schema simplifie illustrant les 
drfferentes Stapes du precede selon ['invention 
aussi bien pour la demande d'attestation que s 
pour la transmission de celle-ci, 

- La figure 3 montre comment est constitute une 
attestation obtenue par le procede de ('invention, 
~ figure 4 montre une variante du procede 
selon I'invention s'appliquant a Pobtention w 
cfattestations en chatne. 

- La figure 5 montre comment sont liees valeurs 
de chatnage et c!6s de contrdle dans une chatne 
cfattestations. 

On considere les figures 2 et 3. 15 

Le procede selon Invention s'applique a des 
attestations sceUtes ou signees. II consiste a intro- 
duire dans Fattestation elle-m6me une donnte de pro- 
tection. Cette donnee suppiementaire est en clair tout 
comme le reste des informations de Fattestation, et 20 
non pas gardte confidentielle comme dans le sys- 
t&me de protection d'attestation defini par le standard 
ECMA 138 pr§dt6, une autre difference ttant bien 
entendu le fait que la donn6e de protection est interne 
& l'attestation, au lieu d'etre exteme. 25 

La figure 3 qui montre comment est constitute 
une attestation, permet de mieux comprendre 
comment se situe cette donn6e de protection a rintt- 
rieur d'une attestation. 

L'attestation AT, est constitute d'une plurality 30 
dlnformations binaires rt parties en une succession 
de champs de bits, a savoir dans I'exemple de reali- 
sation montre a la figure 3, les champs C 1t C2, .... 
Cs, C^. 

Chacun des champs de Pattestation a la significa- 35 
tion suivante : 

Le champ indique la version de syntaxe de 
l'attestation, (une attestation est tcrite suivant une 
syntaxe dtterminte dont it peut exister plusieurs ver- 
sions success ives drfferentes au cours du temps). 40 

Le champ C2 indique les privileges de I'utilisateur, 
ou bien fes droits que celui-ci possede ou non, en 
d'autres termes la nature des operations qu'il est en 
droit ou non d'effectuer, par exemple le droit d'accts 
au salaire du personnel d'une entreprise pour le res- 4S 
ponsaWe du service de paie, ou I'interdiction de modi- 
fier les salaires pour les employes de ce meme 
service. 

Le champs C 3 indique les attribute de I'initiateur, 
c'est-&-dire ceux de ceiui qui le premier demande so 
l'attestation, a savoir le sujet S t a la figure 2. Ces attri- 
buts dtcriventles differentes caracteristiques du sys- 
tfcme utilise par ce sujet (par exemple, I'endroit ou ce 
systeme est localise, ou le type de materiel utilise, tel 
que terminal avec lecteur de badge, etc, ...). 55 

Le champ C 4 indique les attribute du destinataire, 
c'est-a-dire les caracteristiques de celui (de la m£me 
fagon que pour C3) auquel est destinte l'attestation, 



par exemple S 2 & la figure 2. 

Le champ C 5 contient la donn6e de protection. 
Cette donnee est constitute en fait de deux parties : 
d'une part, une clt de protection et d'autre part un 
identificateur de la mtthode de protection utilisant la 
cie. Cette mtthode sera prtciste dans la suite de la 
description. La clt de protection contient un grand 
nombre de bits, 512 ou plus, dans un exemple de rea- 
lisation prtftrt de I'invention. 

Le champ C 6 indique fa date de creation de 
{'attestation. Cette information permet de limiter 
I'usage de l'attestation dans le temps en combinaison 
avec le champ suivant C7. 

Le champ C7 indique la ptriode de validrtt de 
l'attestation. L'ensemble des deux champs C 6 et C7 
permet done de prtciser la ptriode pendant laquelle, 
a partirde la date de creation de l'attestation, {'attes- 
tation est valable. 

Le champ C 8 contient un identificateur de l'attes- 
tation, c'est-a-dire qu'il indique le numtro de l'attes- 
tation deiivree par le serveur SAU (le serveur 
numtrote chacune des attestations qu'il deiivre).. 

Le champ Cg contient un identificateur de reprise, 
ce dernier ttant utilise pour rtvoquer une attestation 
quand cela devient ntcessatre, par exemple quand 
Tutilisateur Si se vort retirer ses droits. 

Le champ C 10 identifie I'autorite AU et tventuel- 
lement le serveur SAU correspondant qui deiivre 
l'attestation. 

Le champ C u contient le sceau SE ou la signa- 
ture SG. Ce champ contient ('identificateur de la 
mtthode utiliste pour calculer le sceau ou la signa- 
ture SE ou SG, et la valeur du sceau SE ou de la 
signature SG. Rappelons que la valeur du sceau SE 
ou de la signature SG est calculte en determinant la 
somme de contrdle (check sum, en anglais) de 
l'ensemble des informations binaires contenues dans 
les champs dtcrits ci-dessus a I'exception du champ 
C^, a savoir les champs a C 10 . On voit que, 
contrairement au modtle d'attestation prtconist par 
t'ECMA 138, utilisant une clt de validation exttrieure 
a celle-ci, le calcul du sceau ou de la signature de 
l'attestation nefaitinterveniraucun element qui luiest 
exterieur. La cie de protection ttant en effet dans 
('attestation elle-mtme, elle est prise en compte dans 
le calcul du sceau ou de la signature au meme titre 
que les autres tltments de l'attestation contenue 
dans les autres champs. 

Selon I'invention, le sujet demandeur de l'attesta- 
tion, et plus gtneralement tout dttenteur ulttrieur de 
l'attestation doit prouver qu'il connart une valeur asso- 
cite de maniere unique a la valeur de la cie de pro- 
tection figurant dans ('attestation. Cette valeur 
associte est en fait une donnee de contrdle et est 
appelte cie de contrdle. II existe une relation Fcpentre 
la cie de contrdle et la cie de protection qui est indt- 
qute par I'identrficateur de la mtthode a utiliser pour 
verifier !a cie de protection, identificateur contenu 
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dans le champ C 6 , avec la cle de protection. 

Si l'on designs par CP, et par CL respectivement 
ta de de protection et la cl6 de contrdle, il existe entre 
elles la relation suivante : 

CP = Fcp(CL), 

La cle de contrdle CL peut §tre de deux sortes : 

1) Dans le cas d'un mecanisme a cle publique et 
cle privee, elle peut etre une cle privee CPR, la 
cle privee etant alors reliee a la cle publique CPL 
par la relation : 

CPL = Fcp (CPR), 

ou F cp est une relation entre la cle pubiique et la 
cle privee telle que connaissant la cle publique et 
la fonction (qui sont indiquees dans le champ 
C 5 de rattestation, en clair), il est difficile de trou- 
ver la cle privee dans un temps raisonnable, et ce 
d'autant plus que la cle publique CPL con tie nt, 
ainsi qu'il a ete indique plus haut, un grand nom- 
bre de bits, 512 ou plus. Ceci est en effet une 
caracteristique fondamentale des fonctions 
mathematiques qui associent, selon la pratique 
courante, les cles privies aux cies publiques. 
Ainsi, pour un ordinateur extremement puissant, 
de la categorie des super ordinateurs, il faudrait 
plusieurs annees pour retrouver la cle privee 
CPR associee a la cl<§ publique, a partir de la 
connaissance de la c!6 publique CPL et de la 
fonction F^. 

2) Dans le cadre d'un systeme de chiffirement non 
reversible, la cle de contrdle peut £tre une cle 
cachee CCH, la cl§ publique dite cle reveiee CRV 
etant alors liee a la cle cachee par la relation CRV 
- Fcp (CCH). 

La fonction F cp etant une fonction de chiffrement 
non inversible (one way function, en anglais), il est dif- 
ficile de trouver la cle cachee CCH dans un temps rai- 
sonnable (voir ci-dessus), lorsque Ton connaTt la cle 
reveiee CRV et la fonction Fcp. 

II est envisageable egaiement de proteger une 
attestation par la combinaison des deux techniques 
mentionnees ci-dessus, a savoir que la cle de 
contrdle qui est soit une cle publique soit une cte reve- 
iee est associee soit a une cle privee soit a une cle 
cachee. Dans ce cas, le champ C 5 contient alors une 
premiere cle de protection dite cle publique CPL, et 
une seconde cle de protection dite cle reveiee CRV, 
chacune associee a un indicateur specifiant la 
method e de protection correspondante, c'est-a-dire 
soit le mecanisme a cle publique et cle privee, soit le 
systeme de chiffrement non inversible. On peut done 
dire en conclusion de ce qui precede que la posses- 
sion d'une attestation se caracterise par la posses- 
sion, d'une cle privee et/ou la possession d'une cle 
cachee. 

La caracteristique essentielle du proc*§de selon 
Tinvention venant d'etre precisee ci-dessus, il importe 
desormais de preciser quelles sont les diffeYentes 
etapes du precede d'obtention de rattestation selon 



Tinvention. Ce precede comporte, de la meme 
maniere que le proc6de d§fini par le standard ECMA 
138 trois etapes analogues a celles definies parce- 
lui-ci, ces trois etapes comportant chacune des ope- 
5 rations supplementaires, a savoir a, b, c pour 
respectivement les premiere, deuxieme et troisieme 
etapes, comme il est indiqu6 ci-dessous : 

a) (on se refere a la figure 2). Lors de cette pre- 
miere etape, le sujet demandeur S t choisit au 

10 moins une cle de contrdle, qu'il associe et lie a la 

cle de protection par la relation non inversible F^, 
puis il transmet en clair a I'autorite d'une part une 
information d'identification definissant la relation 
F cp et d'autre part la cle de protection. 
15 Si la cle de contrdle est une cle cachee CCH, le 

sujet Si determine celle-ci en choisissant au hasard 
un grand nombre binaire. II calcule alors la cle de pro- 
tection, c'est-a-dire la cle reveiee, en appliquant la 
formule : 
20 CRV = Fcp (CCH). 

II communique ensuite a I'autorite la valeur de 
cette cle de protection sans la chiffrer. 

Si Ton utilise une cle privee comme c!6 de 
contrdle, le sujet Si qui demande rattestation choisit 
25 au hasard un couple cle publique/cle privee 
CPL/CPR. II communique alors au serveur SAU la 
valeur de la cle publique CPL sans la chiffrer. 

Dans le cas de ('utilisation combinee des deux 
techniques precedentes, cIG cachee ou cle privee, le 
30 sujet S! choisit au hasard d'une part un grand nombre 
binaire qui va etre la de cachee CCH et d'autre part 
un couple cle publique/cle privee CPLiCPR. II calcule 
alors la cle reveiee CRV correspondant a la cle 
cachee par la formule : 
35 CRV = F cp (CCH). 

II communique ensuite au serveur SAU qui deli- 
vre rattestation, la valeur de la cle reveiee CRV ainsi 
que la valeur de la cle publique CPL sans les chiffrer. 

b) Lors de ta seconde etape, le serveur SAU intro- 
40 duit la cle de protection et Information d'identifi- 
cation definissant la methode a utiliser pour 
verifier la cle de protection, au sein meme de 
rattestation, puis calcule le sceau SE ou la signa- 
ture SG en tenant compte de celles-ci. 

45 Dans le cas ou l'on utilise une cle cachee CCH 

comme cle de contrdle, I'autorite delivrant rattestation 
introduit la cle reveiee CRV et I'identrficateur de la 
relation F^ dans rattestation et calcule le sceau ou la 
signature en tenant compte de la cle reveiee CRV et 

so de son identificateur. 

Si l'on utilise comme cle de contrdle une c!6 pri- 
vee CPR, le serveur SAU introduit la cle publique CPL 
qu'il a repu du sujet S 1 dans rattestation ainsi que 
I'identificateur correspondant, et calcule le sceau SE 

55 ou la signature SG en tenant compte de la cle publi- 
que CPL et de I'identificateur. 

c) Lors de la troisieme etape, rattestation est 
transmise en clair par le serveur SAU au sujet 



BNSDOCID <EP 0456553A1_I_> 



11 



EP 0 456 553 A1 



12 



demandeur. (Ceci est vrai quelle que soit la tech- 
nique utilisee, premiere, seconde ou combinai- 
son de celles-ci). On voit ainsi que par rapport & 
la m&hode definie par le standard ECMA 138, la 
d6 de protection, ici incluse dans I'attestation est s 
transmise en clairaussi bien du sujet demandeur 
au serveur que du serveur au sujet demandeur. 
Le precede selon I'invention evite done de ce fait 
un chiffrement de d6. 

Dans le cas ou on utilise la combinaison de deux 10 
techniques (voir plus haut) Fautorite lors de cette troi- 
sfeme etape, ayant constitue I'attestation, envoie cel- 
le-d en dair au sujet demandeur S^ La de publique 
et la d6 privee sont done transmises en dair & I'inte- 
rieur de I'attestation non seulement du sujet deman- 15 
deur& I'autorite mats egalement dans le sens inverse. 

On considere desormais le probieme de la trans- 
mission d'une attestation depuis le sujet S 1 benefi- 
ciaire d'une attestation & un destinataire de 
I'attestation, tel que le sujet S 2 , qui peut etre soit un 20 
indrvidu soit un programme duplication pouvant 
mener & bien des tSches precises pour le compte du 
sujet demandeur S v 

La transmission de I'attestation se diroule selon 
les stapes survantes : 25 

4. Le ben6fidaire de I'attestation prepare une 
requdte pour le sujet destinataire qui est appeie 
encore sujet tiers, ou plus simplement tiers, £ 
savotr S2. 

Suite d l'op6ration 4 le sujet S 1 accomplit ensurte 30 
soit les operations 5 e 7, soit les operations 8 & 1 3, sui- 
vant que la d6 de contrdle est une cie privee ou que 
la d§ de contrdle est une de cachee. 

5. Si la d6 de contrdle est une d6 priv6e CPR, le 
sujet beneficiaire de I'attestation S 1 constitue un 35 
message forme par la requite eiaboree lors de 
I'operation 4 et I'attestation en dair. Ce message 
precise I'usage qui peut §tre fait de I'attestation, 
e'est-e-dire definit les tSches que devra accomplir 

le sujet S 2 . S, signe ce message au moyen de la 40 
d6 privee, grace & un algorithme asymetrique, 
puis I'envoie a S2. 

6. Le sujet tiers S2 qui dispose de la de publique 
CPL transmise au sein de Pattestation, v6rifie la 
signature du message qui lui a ete transmis. 45 

7. Le sujet S2 prend en compte I'attestation qui lui 
a ete transmise par le sujet Si dans le cas ou la 
verification s'avere positive. Le sujet S^ informe 
aiors le beneficiaire de ('attestation S, qu'il prend 

en compte son attestation putsque ce dernier lui 50 
a reellement prouve qu'il possede la de privee. 

8. Si la d6 de contrdle est une d6 cachee CCH, 
le benefidaire $ % constitue un message forme par 
la requdte eiaboree en 4 et I'attestation en dair. 

Le message definit les tfiches que devra acconrv ss 
plir S^ Si scelle ce message au moyen de la de 
cachee, grace a un algorithme symetrique, puis 
I'envoie £ S* 
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9. Le beneficiaire Si effectue une operation de 
chiffrement sur la de cachee CCH (avec une 
fonction quelconque differente de Fcp) et la trans- 
met ainsi de maniere confidentielle au tiers S 2 . 

10. Le tiers ayant regu cette de cachee chiffree, 
la dechrffre. 

1 1. II calcule la de de protection & partir de la cie 
cachee ainsi dechiffree lors de I'operation 10 et 
de la fonction de chiffrement irreversible F^, et 
calcule le seel I em en t sur le message re$u. 

12. II compare la d6 de protection ainsi calcuiee 
avec la valeur de la de de protection qui lui est 
transmise au sein m£me de I'attestation, lors de 
I'operation 8 et verifie si le scellement est correct 

13. II prend en compte ('attestation lorsque la cie 
de protection calcuiee et la de de protection 
transmise sont egales et si le scellement caicuie 
sur le message re$u est correct, ce qui prouve 
que le beneficiaire S t de I'attestation est en pos- 
session de la cie de contrdle. 

Lorsque Ton combine ('utilisation des deux tech- 
niques mecanisme & de privee/cie publique et fonc- 
tion de chiffrement irreversible, la transmission de 
I'attestation s'effectue de la maniere suivante : 

Le beneficiaire Si emet le message selon la 
methode decrite lors des operations 4 et 5 en ajoutant 
dans I'attestation une de r6veiee CRV. Le sujet tiers 
revolt ainsi une attestation comprenant £ la fois une 
cie publique et une cie reveiee. 

S 2 re$oit done un message sign6 et paralieiement 
revolt !a de cachee CCH chiffree par Si dans un ope- 
ration analogue & 9. 

S 2 doit done effectuer deux verifications : 

a) verifier que la signature est bonne (analogue & 
operation 6), 

b) verifier que la d6 cachee chiffree correspond 
d la d6 rev6I6e (analogue & operations 10, 11, 
12). 

La prise en compte de I'attestation estfaite parS 2 
si ces deux verifications sont positives. 

Dans certains cas, il peut etre necessaire de pre- 
senter simultanement & un mdme sujet tiers quelcon- 
que plusieurs attestations differentes AT1 £ AT n (voir 
figure 4). Ceci se produit en particulter lorsque surgit 
le scenario survant : celui qui re$oit une requdte pour 
effectuer une tdche d6termin6e, par exemple le sujet 
S 2 n'est pas n6cessairement en mesure d'y repondre, 
e'est-e-dire d'accomplir dans son integralite la tfiche 
qui lui est demanded par le beneficiaire de I'attesta- 
tion S v Dans ce cas, le sujet tiers S 2 transmet la 
requSte & une tierce partie, par exemple le sujet S 3 . 
Cette tierce partie peut exiger la presentation de deux 
attestations, & savoir I'attestation AT1 du premier 
requerant, c'est-S-dire le premier beneficiaire Si ainsi 
que I'attestation AT 2 du second requerant, c'est-£- 
dire du sujet S 2 . Ceiui-ci aura demande cette derniere 
& I'autorite AU (representee eventuellement par un 
autre serveur que SAU) selon un scenario strictement 



« 



EP 0 456 553 A1 



identique a celui qui a 6t6 utilise pour la demande 
d'attestation AT^ par le sujet et qui est d6crite ci- 
dessus. 

Avec la methode pr6conis6e ci-dessus, cela 
n6cessiterait le doublement des m6canismes pr6sen- 
tes, chiffrement des donn6es de contrdle ou constitu- 
tion de messages sign 6s, dechiffrement, operation de 
calcul des sommes de verification, etc. Cependant, 
lorsque la chatne des requ^rants S 1t S 2 , S 3 , .... Sj, 
S„_i, S n est relativement importante et contient n-1 
intermediates, il peut dtre interessant de simplifier le 
mecanisme d'obtention et de transmission des attes- 
tations. 

Dans ce cas, les attestations sont li€es entre elles 
de telle sorte que chaque nouvelle attestation AT n 
puisse dtre chain 6e avec la pr6c6dente attestation 
ATo-v On obtient ainsi une chaTne d'attestations 
ATi ... AT n . Ce mecanisme de chaTnage a les proprie- 
t6s suivantes : 

- le dernier detenteur S n de la chaTne d'attesta- 
tion dispose de I'ensemble des attestations 
contenues dans la chaTne, d savoir ATi & AT n , 

- un detenteur intermediate d'attestation S )t qui 
dispose de I'ensemble des attestations qu'il a 
recues A^ ATi, ne peut en aucun cas dispo- 
ser des attestations qui seront eventuellement 
rajoutees par la suite a la chaTne des attestations 
d6j& pr6sentes, par d'autres que lui-meme. En 
d'autres termes, il ne pourra en aucun cas dispo- 
ser des attestations AT|+i,AT|+2, etc. 

Ce mecanisme de chaTnage necessite I'adjonc- 
tion d'une valeur compl6mentaire, dans chaque attes- 
tation AT t & AT n , appelee valeur de chaTnage CV 
(chaining value, en anglais). Cette valeur de chaTnage 
CV n'est pas necessaire lorsque la chaTne ne contient 
qu'une seule attestation, a savoir A^ (mecanisme 
decrit ci-dessus) mais est necessaire des iors qu'une 
seconde attestation AT 2 est chaTnee & la premiere. 

La valeur de chaTnage lie les cles de controle des 
differentes attestations entre elles. Si Ton appelle cle 
de contrdle CL„ f la cl£ de contrdle attachee & I'attes- 
tation AT n de rang n, et cle de contrdle CL^, la cle de 
contrdle attachee & I'attestation AT^ de rang n-1 et 
CV n , la valeur de chaTnage de rang n, on a alors la 
relation de liaison F L entre la valeur de chaTnage CV n 
et ses deux cles de controle CU et CUi qui est la sui- 
vante: 

CV n = F u (CLn. CU.0 

F|_ est une fonction de chiffrement reversible uti- 
lisant la cle de controle CL„ comme cie de chiffrement, 
et la cle de contrdle CL^ comme entree (voir figure 
5). La fonction F t permet de calculer toutes les 
valeurs de chaTnage et est eventuellement identique 
pour toutes les operations de calcul de I'ensemble 
des valeurs de chaTnage. Elle peut etre choisie par le 
premier sujet et sera utilisee par Tensemble des 
autres sujets pour calculer les valeurs de chaTnage. 
Cette fonction de chiffrement est done choisie arbitrai- 
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rement et est accomplie au moyen de circuits logn 
ques ou de programmes parfaitement connus selon 
Tart anterieur. 

La propriete de reversibilite de la fonction F L se 
5 traduit par le fait que connaissant la cle de controle 
CU et la valeur de chaTnage CV n , il est possible d'en 
deduire la cle de controle CL^i par la relation sui- 
vante : 

CL^ = F L -1 (CU CV^, 
10 F L - 1 etant la fonction de dechiffrement correspondant 
a la fonction de chiffrement F L et qui utilise la cie de 
contrdle CL n comme de cl6 de dechiffrement et la 
valeur de chaTnage CV n comme entree (voir egale- 
ment figure 5). 

is Le proc6d6 de transmission d'une chaTne d'attes- 

tations presente les caracteristiques suivantes : 
I - Pour transmettre un ensemble d'attestations 
ATi h AT n , il n'est plus necessaire de chiffrer indi- 
viduellement chaque cie de contrdle associee a 

20 chaque attestation, mais de chiffrer seulement la 

derniere cle de contrdle, e'est-^-dire CL„ de telle 
sorte que le destinataire S n+1 puisse la dechiffrer. 
S„ n'a alors qu'£ effectuerque deux operations de 
chiffrement pour transmettre et rajouter une 

25 attestation & la chaTne au lieu d'autant d'opera- 

tions individuelles de chiffrement que d'attesta- 
tions & transmettre n. Le sujet tiers S n va done 
d'une part chiffrer la derniere cle de contrdle CL n , 
mais va egalement calculer la bonne valeur de 

30 chaTnage, c'est-6-dire va effectuer I'operation 

CV„ = F L (CL n , CLm) ou la cle de contrdle CL^ 
lui est transmise chiffree par le sujet S„_, (S n va 
done la dechiffrer), la cle de contrdle CL„ etant 
choisie par S n lui-meme. 

35 || - Pour verifier un ensemble d'attestations, il 

n'est plus necessaire de dechiffrer individueile- 
ment chaque cie de contrdle associ6e a chaque 
attestation mais de dechiffrer seulement la der- 
niere cie de contrdle. II convient alors de calculer 

40 les autres c!6s de contrdle au moyen des valeurs 

de chaTnage selon la formule : 
CLm = F L - 1 (CL ni CV n ) citee ci-dessus. 
Un intermediate de rang n dans la chaTne a done 
& effectuer d'abord une operation de dechiffrement de 

45 la derniere cie de contrdle puis n-1 operations de 
dechiffrement pour retrouver les differentes valeurs 
de toutes ies cl£s de contrdle : ceci constitue un total 
de n operations identiques ou n operations individuel- 
les de dechiffrement des cies de contrdle selon la 

so methode classique n'utflisant pas les valeurs de chap 
nage. 

On voit que le procede selon I'invention penmet- 
tant de transmettre un ensemble d'attestations au 
moyen des valeurs de chaTnage CV n permet d'6cono- 
55 miser un grand nombre d'operations, essentiellement 
Iors de la transmission de I'ensemble des attesta- 
tions. 

En outre, le proc6d6 de transmission d'une 

9 




chaTne d'attestations selon Pinvention contient un cer- 
tain nombre de particularit&s qui sont les suivantes : 

- II n'est pas possible de sup primer ou de rem pla- 
cer les premieres attestations d'une chaTne et de 
garder les suivantes. 5 

- II n'est pas possible £ un intermediate de rang 
n de pouvoir b6n6ficier de Pusage d'une attesta- 
tion AT^i de rang n+1. 

- II est possible de raccourcir la chaTne des attes- 
tations en supprimant les n demidres attestations 10 
AT 1 ... ATn. 1t mais sans pouvoir changer I'ordre 

des attestations restantes. 



de protection (CP) sont Ii6es par un m£canisme 
& cie publique/cie priv6e f la donn6e de contrdle 
(CL) etant une c!6 priv6e (CPR) et la donnee de 
protection (CP) une cie pubfique (CPL). 

3. Procede selon la revendication 1 caracterise en 
ce que la donnee de contrdle (CL) et la donnee 
de protection (CP) sont li£es par un systeme de 
chiffrement non inversible, la donnee de contrdle 
6tant une cie cachee (CCH) et la donn6e de pro- 
tection une c!6 r6v6l6e (CRV), la relation non 
inversible (Fcp) etant une fonction de chiffrement 
non reversible* 
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1. Precede d'obtention d'au moins une attestation 
en clair (AT) s6curis6e par au moins un sujet 
demandeur (St) appartenant & un systeme infor- 
matique (SY) comprenant une plurality de sujets 20 
et une autorite (AU) representee par au moins un 
serveur (SAU) agisssant en son nom et deiivrant 

des attestations, les sujets communiquant entre 
eux par {'intermedia re d'un reseau, comportant 
les etapes success h/es suivantes : 25 
- 1°) Le sujet demandeur (S,) adresse & 
Tautoiite (AU) une demande d'attestation et 
lui communique au moins une donnee de pro- 
tection (CP), 

- 2°) Le serveur (SAU) constitue Pattestation 30 
(AT) sous forme d'un ensemble deforma- 
tions binaires et catcule le sceau (SE) ou la 
signature (SG) de ['attestation (AT ) en tenant 
compte de la premiere donnee de protection 
(CP), 35 

- 3°) Le serveur transmet Pattestation scell6e 
ou signee ainsi constituee (AT) au sujet 
demandeur (S^ caracterise en ce que : 

a) lors de la premiere etape, le sujet 
demandeur (SO choisit au hasard une 40 
donnee de contr6le (CL) qu'il associe et lie 

£ la donnee de protection (CP) par une 
relation non Inversible (Fcp) puis transmet 
en clair £ I'autorite (AU), d'une part une 
information d'identification definissant la 45 
relation et cf autre part la donnee de pro- 
tection (CP) elte-meme, 

b) lors de la seconde etape, le serveur 
introduit la donnee de protection (CP) et 
('information d'identification dans Pattesta- so 
tion (AT) puis calcule le sceau (SE) ou la 
signature (SG), 

c) lors de la troisieme etape, ce dernier 
transmet Pattestation (AT) en clair au sujet 
demandeur (S*). 55 

2. Precede selon la revendication 1 caracterise en 
ce que la donnee de contrdle (CL) et la donnee 



4. Precede selon la revendication 1 caracterise en 
ce que Pattestation (AT) comprend une premiere 
et une seconde donnee de protection, auxquelles 
sont associees une premiere donnee de contrdle 
et une seconde donnee de contrdle, la premiere 
donnee de contrdle et la premiere donnee de pro- 
tection etant liee par un mecanisme & cie publi- 
que et cie priv6e, la premiere donnee de contrdle 
etant une cie priv6e (CPR) et la premiere donnee 
de protection une cie publique (CPL), la seconde 
donnee de contrdle etant une cie cach6e (CCH) 
et la seconde donnee de protection une cie r£v6- 
iee (CRV), la relation non inversible (F^) entre 
ces deux demises etant une fonction de chiffre- 
ment non inversible. 

5. Procede selon la revendication 2 caracteris6e en 
ce que, pour transmettre Pattestation depuis un 
sujet beneficiaire (S^ de celle-ci d un sujet tiers 
(Sa), 

- 4°) Le beneficiaire (S t ) prepare une requete 
pour le sujet tiers (S2), 

- 5°) II constitue un message comprenant la 
requete et Pattestation (AT) en clair, precisant 
Pusage qui peut dtre fait de celle-ci et signe ce 
message au moyen de la cie priv6e (CPR), et 
le transmet & (SJ, 

- 6°) Le tiers v£rifie la signature du message 
transmis, 

- 7°) II prend en compte Pattestation (AT) au 
cas ou la verification est positive. 

6. 6. Procede selon la revendication 3, caracterise 
en ce que, pour transmettre Pattestation d'un 
beneficiaire (Si) d un tiers (S2), 

- 4°) Le beneficiaire (SO prepare une requete 
pour le sujet tiers (Sj), 

- 8°) Le beneficiaire (S^ constitue un mes- 
sage forme par cette requete et Pattestation 
(AT) en clair, precisant Pusage qui peut etre 
fait de celle-ci, scelle ce message au moyen 
de la cie cachee (CCH), et le transmet £ (Sj), 
-9°) If chlffre la donnee de contrdle (cie 
cachee CCH) et la transmet au tiers, 
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- 10°) Ce dernier ctechiffre la donnte de 
controle (CCH), 

-11°) II calcufe la donn6e de protection 
correspondante & partir de la donn6e de 
contrdle (cle cachee CCH) et de la fonction de 5 
chiffrement irreversible Fcp et calcule le scel- 
lement sur le message recu. 

- 12°) II compare la donnee de protection 
ainsi calculee avec la valeur de la donnee de 
protection transmise directement au sein 10 
mSme de I'attestation (AT) et v6rifie si le scel- 
lement calcule est correct, 

- 13°) II prend en compte I'attestation lorsque 
la comparaison entre la donnee de protection 
transmise et la donnee de protection calculee is 
est positive, et si le scellement calcule est 
correct. 

Procede selon les revendications 5, 6 dans lequel 
une plural ite n de sujets demand eurs (S 1f Sj, S n ) 20 
demandent chacun une attestation (AT n ) au ser- 
veur (SAU), n attestations etant transmises & un 
sujet tiers (S^), caracterise en ce que : 

- lors de la premiere etape, ayant choisi sa 
propre donnee de contrdle (CL,,) et recu du 25 
sujet S„. 1( la pr6c6dente donnee de contrdle 
(CL^), le sujet S n calcule une valeur de chaT- 
nage (CVn) H6e £ sa propre donn6e de 
controle (CL„) et & la prec§dente (CL^) par 

une fonction de chiffrement F L reversible utili- 30 
santsa propre donnee de contrdle comme cl£ 
de chiffrement et la pr6c6dente comme valeur 
d'entree, puis la transmet au serveur (SAU), 

- lors de la seconde etape, le serveur in trod u it 

en plus la valeur de chamage (CV n ) dans 35 
I'attestation, le calcul du sceau ou de la signa- 
ture prenant egalement en compte cette der- 
nfere. 

Proc6d6 selon la revendication 7, caract6ris6 en 40 
ce que, pour verifier un ensemble de n attesta- 
tions, le sujet de rang n, S n d£chiffre la derni£re 
donnee de contrdle CL,^ puis calcule les autres 
donn£es de contrdle de la chatne d'attestations 
au moyen des valeurs de chaTnage, et de la fonc- 45 
tion de dechHfrement inverse de la dite fonction 
de chiffrement reversible. 
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